Una nueva investigación ha descubierto que es posible que los actores de amenazas abusen de una función legítima de GitHub Codespaces para enviar malware a los sistemas de las víctimas.
GitHub Codespaces es un entorno de desarrollo configurable basado en la nube que permite a los usuarios depurar, mantener y confirmar cambios en una base de código determinada desde un navegador web o mediante una integración en Visual Studio Code.
También incluye una función de reenvío de puertos que permite acceder a una aplicación web que se esté ejecutando en un puerto concreto dentro del espacio de código directamente desde el navegador en una máquina local para realizar pruebas y depurar.
“También puedes reenviar un puerto manualmente, etiquetar puertos reenviados, compartir puertos reenviados con miembros de tu organización, compartir puertos reenviados públicamente y añadir puertos reenviados a la configuración del espacio de código”, explica GitHub en su documentación.
Es importante señalar aquí que cualquier puerto reenviado que se haga público también permitirá a cualquier parte con conocimiento de la URL y el número de puerto ver la aplicación en ejecución sin ningún tipo de autenticación.
Además, GitHub Codespaces utiliza HTTP para el reenvío de puertos. Si el puerto visible públicamente se actualiza para utilizar HTTPS o se elimina y se vuelve a añadir, la visibilidad del puerto se cambia automáticamente a privada.
La empresa de ciberseguridad Trend Micro descubrió que estos puertos de reenvío compartidos públicamente podrían aprovecharse para crear un servidor de archivos malicioso utilizando una cuenta de GitHub.
“En el proceso, estos entornos abusados no serán marcados como maliciosos o sospechosos aunque sirva contenido malicioso (como scripts, malware y ransomware, entre otros), y las organizaciones pueden considerar estos eventos como benignos o falsos positivos”, dijeron los investigadores Nitesh Surana y Magno Logan.
En un exploit de prueba de concepto (PoC) demostrado por Trend Micro, un actor de amenazas podría crear un espacio de código y descargar malware desde un dominio controlado por el atacante al entorno, y establecer la visibilidad del puerto reenviado a público, esencialmente transformando la aplicación para que actúe como un servidor web que aloja cargas útiles maliciosas.”
Y lo que es aún más preocupante, el adversario puede aumentar este método para desplegar malware y comprometer el entorno de la víctima, ya que cada dominio de espacio de código asociado con el puerto expuesto es único y es poco probable que las herramientas de seguridad lo marquen como un dominio malicioso.
“Utilizando este tipo de scripts, los atacantes pueden abusar fácilmente de GitHub Codespaces para servir contenido malicioso a un ritmo rápido mediante la exposición pública de puertos en sus entornos de espacio de código”, explican los investigadores.
Aunque la técnica aún no se ha observado en la naturaleza, los hallazgos son un recordatorio de cómo los actores de amenazas podrían utilizar las plataformas en la nube en su beneficio y llevar a cabo una serie de actividades ilícitas.
“Los servicios en la nube ofrecen ventajas tanto a los usuarios legítimos como a los atacantes”, concluyen los investigadores. “Las características ofrecidas a los suscriptores legítimos también están disponibles para los actores de amenazas, ya que aprovechan los recursos proporcionados por el proveedor de servicios en la nube”.
Fuente: thehackernews.com
